Archivio tag per: malware

Che cos'è il malware senza file?

Nel mondo interconnesso di oggi, la sicurezza informatica è di estrema importanza. Con il crescente numero di minacce informatiche, rimanere informati sulle ultime minacce è essenziale per salvaguardare i nostri dati e sistemi. 

Una di queste minacce emergenti è il fileless malware in forte aumento.

Le tecnologie per gli endpoint di WatchGuard hanno "già individuato circa l'80% degli attacchi fileless o living off the land di cui sono stati testimoni per tutto il 2020" entro la fine del 2021. Fonte

malware senza file

Fonte

Come suggerisce il nome, si tratta di un tipo di malware che opera senza creare file sul sistema di destinazione, rendendolo difficile da rilevare e rimuovere.

In questo articolo esploreremo il malware senza file, il suo funzionamento e le misure da adottare per proteggersi da esso.

Che cos'è il malware senza file?

Il malware senza file è un tipo di codice dannoso che opera interamente nella memoria di un sistema informatico senza creare alcun file sul disco rigido. Le minacce informatiche tradizionali, come virus, trojan e worm, si basano su file per infettare e diffondersi nel sistema. 

Al contrario, il malware senza file risiede nella RAM del sistema, nel registro di sistema e in altre aree di archiviazione volatili, rendendone difficile l'individuazione con i software antivirus tradizionali.

Come funziona il malware senza file?

Il malware che non utilizza file opera entrando nella memoria del computer. Pertanto, nessun codice dannoso arriva mai sul disco rigido. Entra nel sistema in modo sorprendentemente simile a quello di altri software dannosi.

Ad esempio, un hacker può ingannare una vittima e indurla a cliccare su un link o un allegato in un'email di e-mail di phishing. Per indurre la vittima a fare clic sull'allegato o sul link, l'aggressore può utilizzare l'ingegneria sociale per fare leva sulle sue emozioni. In seguito, il malware entra nel sistema e si diffonde da un dispositivo all'altro.

Gli aggressori possono accedere a dati che possono rubare o sfruttare per ostacolare le attività di un'organizzazione utilizzando malware fileless. Il malware fileless si nasconde utilizzando strumenti di cui gli amministratori di sistema si fidano, come gli strumenti di scripting di Windows o PowerShell. 

Sono spesso inclusi nell'elenco delle applicazioni consentite da un'azienda. Il malware senza file corrompe un programma affidabile, rendendolo più difficile da rilevare rispetto al software dannoso che vive in un file separato sul disco rigido.

Come funziona il malware senza file

Fonte

Catena di attacchi malware senza file

Catena di attacco del malware senza file

Fonte

Poiché il malware senza file opera in memoria e utilizza tecnologie affidabili, i software antivirus basati sulle firme e i sistemi di rilevamento delle intrusioni lo scambiano spesso per un software benigno.

Grazie alla sua capacità di operare in modo occulto, di persistere e di passare inosservato alle organizzazioni bersaglio prive degli strumenti necessari, le rende essenzialmente ignare di un'intrusione continua.

La fiducia delle aziende nelle soluzioni basate sulle firme per proteggere le reti è un fattore chiave che incoraggia le CTA a lanciare attacchi malware senza file contro le reti.

Tipi di malware senza file

Ecco come si diffonde il malware senza file, grazie a vari tipi:

  1. Il malware fileless basato sulla memoria è il tipo più comune di malware senza file, che risiede nella RAM del sistema e in altre aree di memoria volatile.
  2. Il malware fileless basato su script utilizza linguaggi di scripting, come PowerShell o JavaScript, per eseguire codice dannoso nella memoria di un sistema di destinazione.
  3. Il malware senza file basato su macro utilizza macro incorporate in documenti, come file di Microsoft Office o PDF, per eseguire codice dannoso nella memoria di un sistema bersaglio.
  4. Il malware senza file basato sul registro risiede nel registro di sistema, un database che memorizza le informazioni di configurazione del sistema operativo e del software installato.

Fasi di un attacco Fileless

Di seguito sono riportati i passi che un attaccante può compiere durante un attacco fileless:

Accesso iniziale

L'attaccante ottiene l'accesso iniziale alla rete di destinazione attraverso il phishing o altri metodi di ingegneria sociale tecniche di social engineering.

Esecuzione

L'aggressore invia il codice dannoso a uno o più computer della rete di destinazione utilizzando diverse tecniche (ad esempio tramite un allegato di posta elettronica). Il codice dannoso viene eseguito in memoria senza toccare il disco. Questo rende difficile per il software antivirus rilevare l'attacco e impedirne la riuscita.

Persistenza

Gli aggressori installano strumenti (ad esempio, script PowerShell) che consentono loro di mantenere l'accesso alla rete anche dopo aver lasciato il punto di ingresso iniziale o dopo che il malware iniziale è stato rimosso da tutti i dispositivi infetti.

Questi strumenti possono essere utilizzati per eseguire attacchi contro la stessa rete senza essere rilevati dal software antivirus, perché non lasciano tracce su disco o in memoria una volta completata l'installazione di nuovi componenti malware o l'esecuzione di altre attività che richiedono diritti amministrativi sui sistemi bersaglio.

Obiettivi

Una volta che un aggressore ha stabilito la persistenza sul computer della vittima, può iniziare a lavorare per raggiungere il suo obiettivo finale: rubare dati o denaro dai conti bancari delle vittime, esfiltrare dati sensibili o altre attività nefaste.

Gli obiettivi di un attacco fileless sono spesso molto simili a quelli degli attacchi tradizionali: rubare le password, le credenziali o accedere in altro modo ai sistemi all'interno di una rete; esfiltrare i dati da una rete; installare ransomware o altro malware sui sistemi; eseguire comandi da remoto e così via.

Come proteggersi dal malware senza file?

Ora sarete preoccupati di come salvarvi da questa grave minaccia. Ecco come potete mettervi al sicuro:

Mantenete il vostro software aggiornato: Il malware fileless si basa sullo sfruttamento delle vulnerabilità delle applicazioni software legittime. Mantenere il software aggiornato con le patch e gli aggiornamenti di sicurezza più recenti può aiutare a impedire agli aggressori di sfruttare le vulnerabilità note.

Utilizzare un software antivirus: Sebbene il software antivirus tradizionale non sia efficace contro il malware senza file, le soluzioni di protezione degli endpoint specializzate, come il rilevamento basato sul comportamento o il controllo delle applicazioni, possono aiutare a rilevare e prevenire gli attacchi di malware senza file.

Usare i minimi privilegi: Il malware senza file spesso richiede privilegi amministrativi per eseguire gli attacchi. L'utilizzo del principio del minimo privilegio, che limita l'accesso degli utenti al livello minimo richiesto per svolgere il proprio lavoro, può contribuire a ridurre l'impatto degli attacchi di malware fileless.

Implementare la segmentazione della rete: La segmentazione della rete consiste nel dividere una rete in segmenti più piccoli e isolati, ciascuno con i propri criteri di sicurezza e controlli di accesso. L'implementazione della segmentazione della rete può aiutare a contenere la diffusione degli attacchi malware fileless, limitandone l'impatto sull'organizzazione.

Il verdetto

Il malware fileless è un attacco informatico altamente sofisticato che rappresenta una minaccia significativa per i sistemi e le reti informatiche. A differenza del malware tradizionale, il malware fileless opera interamente nella memoria di un sistema bersaglio, rendendone difficile il rilevamento e la rimozione con i tradizionali software antivirus. 

Per proteggersi dal malware fileless, è essenziale mantenere il software aggiornato, utilizzare soluzioni di protezione endpoint specializzate, implementare il principio del minimo privilegio e impiegare la segmentazione della rete. Con l'evoluzione delle minacce informatiche, è fondamentale rimanere informati sulle ultime tecniche di attacco e adottare misure proattive per salvaguardare i nostri dati e sistemi.

malware senza file

/da

Ransomware Vs Malware Vs Phishing

Ransomware, malware e phishing sono tre tipi di minacce online che esistono da anni. Tutte e tre possono essere diffuse via e-mail, sono dannose per un'organizzazione e possono portare alla perdita di risorse finanziarie o informative. Può essere difficile distinguerle, ma la nostra guida ransomware vs malware vs phishing è qui per evidenziare alcune differenze chiave tra loro. 

Ecco la ripartizione:

Ransomware Vs Malware Vs Phishing: definizioni

Ransomware contro malware

Il ransomware è un tipo di malware che può criptare i vostri file e renderli inaccessibili a meno che non paghiate un riscatto ai criminali informatici che lo hanno inviato. Il problema è che non si tratta di un malware qualsiasi: è progettato specificamente per farvi pagare prendendo il controllo del vostro computer e tenendo in ostaggio i vostri file finché non pagherete. Il ransomware può anche operare come servizio, comunemente noto come RaaS.

 

Il malware è un altro tipo di minaccia che può infettare il computer e renderlo inutilizzabile. Nella maggior parte dei casi, il malware non chiede un pagamento in cambio della rimozione dal dispositivo, ma lascia programmi o file indesiderati sul disco rigido o sul computer portatile dopo aver preso il controllo del sistema.

Ransomware e malware contro il phishing

Gli attacchi di phishing prevedono l'invio di e-mail con link o allegati che sembrano provenire da siti web affidabili come Facebook o Gmail, ma che conducono a siti dannosi controllati da criminali informatici che vogliono rubare informazioni su di voi o su altre persone su Internet per poter commettere frodi d'identità in un secondo momento (come quando si cerca di acquistare biglietti aerei).

Differenze nella prevenzione e mitigazione degli attacchi

Prevenzione degli attacchi ransomware 

Il ransomware può essere diffuso tramite e-mail, social media e altri servizi online, oppure può essere scaricato da un sito web. Spesso viene utilizzato per estorcere denaro alle vittime, in quello che è noto come "attacco ransomware".

Il modo migliore per prevenire gli attacchi ransomware è quello di utilizzare password forti e altre misure di sicurezza che proteggano il sistema e le e-mail, come un software antivirus affidabile e protocolli di autenticazione delle e-mail quali DMARC, rispettivamente.

Leggete la nostra guida completa su DMARC e ransomware.

Attenuazione degli attacchi ransomware

Se siete stati colpiti da un attacco ransomware, ci sono alcune cose che potete fare subito:

  1. Assicuratevi che tutti i file sul vostro PC siano stati sottoposti a backup e salvati da qualche altra parte (ad esempio su un disco rigido esterno).
  2. Rimuovete qualsiasi software sospetto dal computer e non installatene di nuovi finché l'infezione non è stata completamente rimossa (o almeno finché non c'è più alcun rischio).
  3. Non aprite le e-mail che chiedono denaro e non cliccate sui link in esse contenuti! 
  4. Se possibile, collegatevi con amici o familiari che hanno accesso al computer, in modo che possano aiutarvi a ripulire il computer dopo che avete finito. 
  5. Se possibile, prendete in considerazione l'idea di far subentrare qualcuno nel vostro account, in modo che solo una persona vi abbia accesso contemporaneamente.

Prevenzione degli attacchi malware

  1. Il primo passo è installare software antivirus sul computer. Il software antivirus è in grado di rilevare e rimuovere virus e altri tipi di software dannoso dal computer. Questa operazione dovrebbe essere effettuata il prima possibile dopo l'infezione da malware, in modo da poterlo rimuovere prima che il computer subisca danni.
  2. Un altro modo per prevenire gli attacchi di malware è mantenere il sistema operativo aggiornato. La maggior parte dei sistemi operativi è dotata di aggiornamenti automatici che aiutano a mantenerli sicuri contro nuovi virus e altri tipi di malware, scaricandoli automaticamente quando sono disponibili online o tramite un'applicazione di aggiornamento sul computer. Se non ci sono aggiornamenti disponibili per un sistema operativo, è meglio non installare nulla finché non viene rilasciato un aggiornamento per quella particolare versione del sistema operativo.
  3. Un terzo modo per prevenire gli attacchi di malware è quello di utilizzare, quando possibile, password forti anziché semplici come 12345.

Attenuazione degli attacchi malware

Se il vostro computer è infetto da malware, non aspettate! Eseguite una scansione completa con un programma antivirus prima di tentare qualsiasi altra operazione. 

Quando un computer viene infettato da malware, questo può diffondersi rapidamente e causare più problemi del semplice rallentamento del computer. Assicuratevi quindi di eseguire una scansione completa prima di provare qualsiasi altro metodo di recupero da un attacco di malware.

Prevenzione degli attacchi di phishing

Il DMARC è uno dei modi più efficaci per combattere questo tipo di attacchi, perché può aiutare a impedire agli aggressori di entrare in possesso del vostro nome di dominio, consentendo loro di impersonare il vostro sito o servizio e quindi di accedere ai dati dei vostri clienti. Tuttavia, è necessario applicare una politica di DMARC di p=rifiuto per prevenire gli attacchi.

Attenuazione degli attacchi di phishing

Se i vostri clienti ricevono e-mail di phishing che sembrano provenire dal vostro dominio, dovete disporre di un meccanismo per rintracciare questi IP dannosi. I rapporti DMARC sono un modo eccellente per monitorare le fonti di invio e rintracciare questi IP per inserirli più rapidamente nella blacklist. 

Si consiglia di configurare il nostro analizzatore di rapporti DMARC per visualizzare i rapporti in un formato leggibile (non XML).

Conclusione

In breve, il ransomware è un tipo di malware che cripta i file sul computer, tenendoli in ostaggio finché non si paga per sbloccarli. Il malware è qualsiasi tipo di software che altera o cancella i dati senza il vostro esplicito consenso. Il phishing è quando i truffatori fingono di essere qualcuno che conoscete, come la vostra banca o il vostro datore di lavoro, e vi chiedono di fornire informazioni sensibili come nomi utente e password. 

Tuttavia, tutti e tre possono essere somministrati a un utente tramite e-mail false provenienti da un indirizzo spoofed che finge di essere voi! Proteggete oggi stesso le e-mail del vostro dominio con un analizzatore DMARC e non preoccupatevi più delle minacce di impersonificazione!

malware senza file

/da

Che cos'è il malware?

Che cos'è il malware? Il malware o software maligno può danneggiare il vostro sistema (a volte in modo irreparabile) e accedere ai vostri dati sensibili, o addirittura criptarli. È sufficiente dire che questo tipo di attacco non finisce mai bene per l'utente. Il numero complessivo di nuovi malware rilevati in tutto il mondo a marzo 2020 era di 677,66 milioni di programmi, in aumento rispetto ai 661 milioni di fine gennaio 2020. Entro il 2020, AV-TEST prevede che ci saranno più di 700 milioni di nuovi campioni di malware.

Diamo quindi un'occhiata a cos'è il malware e i suoi tipi significativi che rovinano il funzionamento del sistema.

Che cos'è il malware?

Il malware è un tipo di software che può causare danni al sistema informatico. Il software dannoso può prendere il controllo del computer, accedere alle informazioni private o danneggiare i file e i dati.

Il malware può essere dannoso, ovvero ha cattive intenzioni e cerca di danneggiare l'utente. Il software dannoso è solitamente progettato per rubare informazioni personali, raccogliere le password o addirittura distruggere il computer.

Il malware può anche essere involontario, cioè creato da uno sviluppatore o da un'azienda che non intendeva che il malware contenesse caratteristiche dannose. Il malware non intenzionale consiste spesso in un codice scritto male che consente agli hacker di accedere alle informazioni o al dispositivo dell'utente.

Cosa può fare il malware?

Il malware può causare problemi quali:

  • Bloccare il computer.
  • Nascondere i file, rendendo difficile l'accesso ai file importanti.
  • Modifica delle impostazioni del computer.
  • Scaricamento di virus, spyware e altro malware sul PC.
  • Accesso al computer a vostra insaputa
  • Rubare i dati dal disco rigido
  • Dirottamento del browser o di applicazioni basate sul web
  • Prendere il controllo del proprio computer per spiare gli altri che lo utilizzano

Tipi di malware

I tipi più comuni di malware sono descritti di seguito:

  • I virus sono il tipo più comune di malware, caratterizzato dalla capacità di replicarsi e diffondersi ad altri sistemi. Un virus può diffondersi attraverso allegati di posta elettronica, condivisione di file peer-to-peer e altri mezzi.
  • I trojan sono software dannosi che si diffondono attraverso una rete. Imitano i programmi legittimi (come i browser) e ingannano gli utenti per indurli a eseguirli, visualizzando falsi avvisi di sicurezza o pop-up.
  • Lo spyware è un software che raccoglie segretamente informazioni sulle attività e sui comportamenti degli utenti sui loro computer e invia questi dati al suo sviluppatore. Lo spyware può includere l'adware, che visualizza annunci pubblicitari sulle pagine Web quando vi si accede, e lo scareware, che visualizza falsi avvisi simili a quelli presenti nei software antivirus, cercando di ingannare gli utenti per indurli ad acquistare altro software di sicurezza.
  • Il ransomware è un malware che cripta i vostri file e poi richiede un pagamento per sbloccarli. La minaccia si diffonde attraverso allegati di posta elettronica e siti web infetti. I criminali informatici utilizzano sempre più spesso i ransomware per estorcere denaro alle vittime ignare. Il ransomware può anche operare come servizio gestito, popolarmente chiamato Ransomware-as-a-service (RaaS).
  • Adware è un software pubblicitario che inserisce annunci nelle pagine Web visualizzate dall'utente o da qualsiasi altra persona che visita il computer. Questi annunci possono essere serviti senza il vostro consenso o la vostra conoscenza e spesso vengono raccolti a vostra insaputa. L'adware potrebbe anche tracciare il comportamento di navigazione online dell'utente (ad esempio, le visite ai siti o le parole chiave cercate), che può essere condiviso con terze parti senza che l'utente ne sia a conoscenza o abbia dato il proprio consenso.
  • Scareware è noto anche come falso antivirus o falso software di sicurezza. Il suo scopo è quello di indurre l'utente a pensare che il suo computer sia stato infettato da malware, mentre non è così. In genere, lo scareware finge di provenire da un'organizzazione di sicurezza legittima, come AVG o Norton, anche se queste aziende non distribuiscono tali programmi su Internet né forniscono assistenza.

Come si diffonde il malware?

In seguito all'apertura di un allegato o di un link dannoso, il malware può diffondersi e infettare dispositivi e reti. Il software dannoso si trova talvolta sulle unità USB. Il codice contenuto negli allegati di posta elettronica può indirizzare il computer a scaricare altro malware da Internet.

Come proteggersi dal malware?

Esistono modi per proteggersi dalle minacce informatiche, ma è necessario un po' di impegno.

  • Conoscere le basi della sicurezza delle e-mail

Conoscere le basi della sicurezza delle e-mail e cosa cercare quando si sceglie un server o un provider di posta elettronica è essenziale perché gli attacchi sono sempre più sofisticati e difficili da difendere.

I tre elementi seguenti costituiscono la base della sicurezza delle e-mail:

  • Il percorso che un'e-mail compie per raggiungere la vostra casella di posta si chiama busta.
  • Le informazioni sul mittente, sulla destinazione e i diversi dettagli di autenticazione sono contenuti nelle intestazioni.
  • Il corpo del messaggio è ciò che si legge e a cui si risponde (il contenuto dell'e-mail).

SPF, DKIMe DMARC Le tecniche di autenticazione, che si basano in larga misura sui record DNS, autenticano il mittente e impediscono lo spoofing delle e-mail, potenziale vettore di diffusione del malware. I fornitori di servizi di posta elettronica utilizzano questi passaggi e diverse soluzioni di sicurezza per proteggere gli account di posta elettronica personali e aziendali.

PowerDMARC, ad esempio, utilizza una combinazione di tecnologie, tra cui le firme SPF e DKIM, per impedire la consegna di e-mail dannose alle caselle di posta dei destinatari. Inoltre, blocca l'invio di nuovi messaggi finché il mittente non è stato autenticato dal server di posta.

  • Utilizzate solo software antivirus e antimalware di fiducia

Le minacce informatiche sono numerose, ma è possibile proteggersi da esse utilizzando solo il software di cui si fidano le società antivirus. Il modo migliore per farlo è utilizzare un software antivirus gratuito creato da persone che hanno una formazione informatica e che sono in grado di rilevare i nuovi virus appena escono. Queste aziende hanno anche personale che lavora a tempo pieno allo sviluppo di nuovi metodi per rilevare e rimuovere questi tipi di virus.

  • Configurazione delle scansioni regolari e delle impostazioni di monitoraggio

È inoltre consigliabile eseguire automaticamente le scansioni ogni giorno o a giorni alterni e monitorare il sistema alla ricerca di nuove minacce. In questo modo, vi assicurerete di non perdere nessuna infezione che potrebbe essere in agguato sul vostro sistema informatico. Inoltre, vi assicurerà di non cliccare su link o scaricare file da siti web sospetti senza sapere cosa contengono o cosa potrebbero fare al vostro sistema informatico se scaricati sul vostro dispositivo.

  • Tenere sotto controllo le informazioni personali

Prima di condividere informazioni personali online, tenetele al sicuro utilizzando la Verifica in due passaggi e password forti che non possono essere indovinate con software o attacchi di forza bruta. È inoltre consigliabile utilizzare un'applicazione antivirus sul computer e sul dispositivo mobile per scansionare i file alla ricerca di virus prima che vengano aperti o salvati. Inoltre, non aprite link sospetti nelle e-mail o negli SMS: possono contenere malware che, se cliccati, possono infettare il vostro computer o dispositivo.

  • Aggiornare sempre il sistema operativo

Assicuratevi di avere installato l'ultima versione del sistema operativo. Se è disponibile un nuovo aggiornamento, l'utente riceverà una notifica. Se non lo installate immediatamente, un malintenzionato potrebbe essere in grado di accedere al vostro computer e installare malware. È inoltre necessario tenere aggiornato il software antivirus con le più recenti patch di sicurezza disponibili.

Protezione da malware: Bloccare la diffusione del malware attraverso le e-mail sbagliate

Quindi come il malware influisca sul funzionamento del vostro computer potrebbe essere ormai chiaro. I criminali informatici utilizzano il malware per infettare reti e sistemi e ottenere l'accesso ai dati memorizzati sugli stessi.

A seconda del tipo di malware, i programmi avviano azioni diverse. Lo spettro comprende tutto ciò che va dall'eliminazione di dati errati allo sniffing di input dell'utente. Il malware minaccia ogni gruppo di utenti, compresi quelli privati e aziendali. Nessuna soluzione di sicurezza può promettere una sicurezza al 100% perché il malware si evolve continuamente e crea nuove varianti. Tuttavia, esistono standard comportamentali riconosciuti per ridurre al minimo la superficie di attacco virtuale, tra cui il DMARC. 

Per iniziare a prevenire la diffusione di malware attraverso e-mail sbagliate, implementate oggi stesso il DMARC nella vostra organizzazione con una prova DMARC. prova DMARC. Non sono necessari i dati della carta di credito o dell'account!

malware senza file

/da